Povinná registrace na e-commerce stránkách ve světle Doporučení EDPB 2/2025

Jedním z nejvýraznějších projevů této proměny je rozšířená praxe povinného zakládání uživatelských účtů. Požadavek na vytvoření účtu bývá odůvodňován zejména snahou zjednodušit budoucí nákupy, zvýšit bezpečnost či zkvalitnit služby. V materiálním smyslu však nejde pouze o jednorázové poskytnutí údajů pro konkrétní transakci, nýbrž o založení dlouhodobého vztahu mezi správcem a subjektem údajů, umožňujícího trvalou identifikaci uživatele a navazující zpracování osobních údajů i po jejím skončení.

Z pohledu GDPR je tato v e-commerce sektoru na popularitě nabývající praxe problematická především z hlediska volby a naplnění relevantního právního základu zpracování ve smyslu čl. 6 odst. 1 GDPR a z hlediska dodržení základních zásad zpracování podle čl. 5 GDPR. Povinná registrace se dostává do napětí zejména se zásadou minimalizace údajů podle čl. 5 odst. 1 písm. c) GDPR, zásadou omezení účelu podle čl. 5 odst. 1 písm. b) a zásadou omezení uložení podle čl. 5 odst. 1 písm. e) GDPR. Vede totiž k uchovávání osobních údajů po dobu, která může zjevně přesahovat rámec nezbytný pro splnění konkrétní smlouvy, a současně vytváří prostor pro jejich další využití k sekundárním účelům.[1]

Těmto problematickým oblastem se věnuje Evropský sbor pro ochranu osobních údajů (neboli European Data Protection Board; dále jen „EDPB“) ve svých nových doporučeních 2/2025 o právním základu pro vyžadování vytvoření uživatelských účtů na e-commerce webových stránkách, přijatých dne 3. prosince 2025 (dále jen „Doporučení“). Cílem těchto Doporučení je poskytnout správcům údajů vodítka k posouzení, za jakých podmínek lze povinné vytváření uživatelských účtů považovat za zákonné z hlediska čl. 5 odst. 1 písm. a) a čl. 6 odst. 1 GDPR, a zejména vymezit, zda jej lze opřít o právní základ plnění smlouvy podle čl. 6 odst. 1 písm. b) GDPR, splnění právní povinnosti podle čl. 6 odst. 1 písm. c) GDPR, či oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR, se zvláštním důrazem na zásadu ochrany osobních údajů již ve výchozím nastavení podle čl. 25 GDPR.[2]

Vymezení pojmu online uživatelský účet a věcná působnost Doporučení

Doporučení pracují s vymezením „online uživatelského účtu“ jako osobního online prostoru přiřazeného uživateli a přístupného prostřednictvím autentizačního mechanismu založeného na použití identifikátoru a hesla, případně doplněného o vícefaktorovou autentizaci. Do této definice nespadají dočasné přístupy založené na dočasných přístupových tokenech, které nevyžadují vytvoření hesla a trvalého profilu. 

EDPB zároveň vymezuje věcnou působnost Doporučení na webové stránky v oblasti e-commerce, včetně online tržišť fungujících jako zprostředkovatelé mezi prodejci a spotřebiteli. Naopak mimo působnost zůstávají například sociální sítě, online vyhledávače, audiovizuální mediální služby či online zpravodajské weby a platformy spojující jednotlivce v neprofesionálním postavení (tzv. C2C služby). Z hlediska praktického dopadu je klíčové, že Doporučení se zaměřují výlučně na situace, kdy je vytvoření účtu povinnou podmínkou pro přístup k nabídce nebo pro uskutečnění nákupu, nikoliv na dobrovolnou registraci jako takovou.

„logged-in environments“ jako strukturální riziko pro ochranu osobních údajů

EDPB v úvodu Doporučení upozorňuje, že povinné vytváření uživatelských účtů vystavuje subjekty údajů zvýšeným rizikům pro jejich práva a svobody a současně podporuje vznik tzv. „logged in environments“ (prostředí trvalého přihlášení), tedy prostředí, v nichž jsou uživatelé systematicky identifikováni při jednotlivých úkonech, včetně prohlížení obsahu, uzavírání smluv či využívání doprovodných funkcí služby. Tím se zásadně mění povaha zpracování osobních údajů z původně jednorázového a transakčně omezeného zpracování na kontinuální a opakovanou identifikaci uživatele napříč jednotlivými návštěvami, nákupy a dalšími interakcemi v rámci online uživatelského účtu.

V takovém prostředí nedochází pouze ke zpracování osobních údajů přímo poskytnutých subjektem údajů, nýbrž rovněž k vytváření osobních údajů „produkovaných nebo odvozených“ správcem na základě analýzy chování, historie prohlížení a nákupních preferencí. EDPB v této souvislosti upozorňuje, že tato sekundární vrstva osobních údajů často přesahuje rámec původního účelu zpracování, jímž je typicky uzavření a splnění kupní smlouvy, a může být dále využívána k marketingovým, analytickým či jiným formám komerčního cílení, aniž by pro takové rozšíření existoval odpovídající právní základ podle čl. 6 GDPR a aniž by byly splněny podmínky slučitelnosti dalšího zpracování podle čl. 5 odst. 1 písm. b) a čl. 6 odst. 4 GDPR.

Logged-in environments současně usnadňují dlouhodobé uchovávání osobních údajů v aktivních databázích po dobu delší, než je nezbytné pro splnění konkrétní smlouvy, čímž dochází ke zvýšení rizika porušení zásady omezení uložení podle čl. 5 odst. 1 písm. e) GDPR. Pokud subjekty údajů neuplatní právo na výmaz podle čl. 17 GDPR, mají osobní údaje tendenci zůstávat uloženy i v případě dlouhodobě nevyužívaných či „osiřelých“ účtů, což zvyšuje jejich zranitelnost vůči neoprávněnému přístupu a jiným bezpečnostním rizikům. 

Zvláštní pozornost je v Doporučeních věnována rovněž rizikům spojeným s autentizačními mechanismy. EDPB upozorňuje na rozšířené používání slabých či opakovaně využívaných hesel a na nedostatečně zabezpečené procesy obnovy přístupových údajů. Povinné vytváření uživatelských účtů tak může ve svém důsledku zvyšovat pravděpodobnost zneužití identity, neoprávněného přístupu k účtům a dalších forem podvodného jednání, přičemž negativní dopady těchto incidentů zpravidla dopadají především na samotné subjekty údajů.

Online uživatelský účet jako dlouhodobý právní a technický institut

EDPB v Doporučeních dále zdůrazňuje, že online uživatelský účet nepředstavuje pouze technický prostředek autentizace, nýbrž organizační a technický rámec pro dlouhodobé a systematické zpracování osobních údajů. Vytvoření účtu typicky vede k založení trvalého profilu přiřazeného ke konkrétní identitě subjektu údajů, který je uchováván po dobu přesahující časový rámec nezbytný pro splnění jednorázové kupní smlouvy a který bývá v průběhu času postupně doplňován o další osobní údaje a informace o chování uživatele. Tento dlouhodobý a kumulativní charakter účtu zásadně odlišuje povinnou registraci od jednorázového poskytnutí údajů prostřednictvím formuláře pro konkrétní transakci.

Zatímco jednorázové zpracování osobních údajů lze po splnění smlouvy ukončit a omezit na rozsah nezbytný pro plnění archivačních a zákonných povinností, povinné vytváření uživatelských účtů vytváří jak faktické očekávání, tak technickou infrastrukturu pro trvalé uchovávání a další využívání osobních údajů. Tím se významně zvyšují nároky na přesné vymezení účelů zpracování a na volbu a udržitelnost odpovídajících právních základů ve smyslu čl. 5 a čl. 6 GDPR.

Systematický výklad právních základů zpracování podle čl. 6 GDPR

EDPB v Doporučeních provádí systematický a podrobný výklad jednotlivých právních základůzpracování a jejich použitelnosti v kontextu povinného vytváření online uživatelských účtů. Základním východiskem je závěr, že vytvoření online uživatelského účtu nepředstavuje samostatný účel zpracování osobních údajů, nýbrž pouze organizační/technický prostředek, který musí být vždy podřízen konkrétnímu právnímu základu zpracování ve smyslu čl. 6 GDPR. 

V situacích, kdy je vytvoření online uživatelského účtu stanoveno jako podmínka přístupu k nabídce nebo dokončení nákupu na e-commerce stránce, EDPB výslovně nepovažuje souhlas za relevantní právní základ pro takové zpracování, neboť uživatel nemá skutečnou možnost volby a „souhlas“ vynucený nemožností realizovat transakci by postrádal požadavek dobrovolnosti ve smyslu čl. 4 bodu 11 a čl. 7 GDPR. Doporučení se proto soustředí na posouzení tří právních základů podle čl. 6 odst. 1 GDPR, které jsou v této souvislosti správci nejčastěji uplatňovány, a to plnění smlouvy podle čl. 6 odst. 1 písm. b) GDPR, splnění právní povinnosti podle čl. 6 odst. 1 písm. c) GDPR a oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR.

Plnění smlouvy a pojem nezbytnosti podle čl. 6 odst. 1 písm. b) GDPR

V rámci výkladu právního základu zpracování - plnění smlouvy EDPB opakovaně zdůrazňuje, že pojem „nezbytnosti“ je třeba vykládat restriktivně. Za nezbytné lze považovat pouze takové zpracování osobních údajů, bez něhož by plnění konkrétní smlouvy nebylo fakticky možné, a správce musí být schopen doložit, že neexistuje jiné, méně invazivní a stejně účinné řešení. Zpracování, které je pouze vhodné, komfortní či ekonomicky výhodné pro správce údajů, pod tento právní základ zpracování nespadá.

U jednorázových nákupů EDPB konstatuje, že osobní údaje potřebné k uzavření a splnění konkrétní transakce, například kupní smlouvy, lze získat bez vytváření uživatelského účtu. Identifikační a kontaktní údaje lze shromáždit například přímo v objednávkovém procesu a následnou komunikaci, potvrzení objednávky, informace o dodání či sledování zásilky zajistit prostřednictvím e-mailu a jednorázových odkazů. Stejně tak lze bez trvalého účtu zajistit vyřizování reklamací a uplatnění spotřebitelských práv. EDPB proto uzavírá, že u běžného jednorázového prodeje je povinné vytvoření účtu jen stěží obhajitelné jako zpracování „nezbytné pro plnění smlouvy“. Naopak u dlouhodobých smluvních vztahů, typicky u předplatných služeb, může být vytvoření účtu považováno za nezbytné, pokud je opakovaná autentizace a správa služby prostřednictvím účtu integrální součástí poskytovaného plnění. I v těchto případech však EDPB zdůrazňuje, že zpracování na základě čl. 6 odst. 1 písm. b) GDPR musí být omezeno na dobu trvání smluvního vztahu a že správce musí řešit ukončení účtu a navazující uchovávání údajů v souladu se zásadou omezení uložení.

Splnění právní povinnosti a její limity podle čl. 6 odst. 1 písm. c) GDPR

EDPB kriticky posuzuje argument, podle něhož je povinné vytváření online uživatelského účtu nezbytné z důvodu splnění právních povinností, zejména v oblasti daňové a účetní. Tyto povinnosti se totiž zpravidla vážou k uchovávání konkrétních dokumentů, jako jsou faktury a účetní záznamy, nikoli k dlouhodobému vedení komplexních zákaznických profilů v aktivních databázích. Uchovávání takových dokladů lze zajistit prostřednictvím odděleného archivačního režimu, přiměřené doby uchování a omezeného okruhu oprávněných osob, aniž by bylo nezbytné udržovat aktivní online uživatelský účet.

EDPB v této souvislosti rovněž připomíná, že správce nemá udržovat identifikaci subjektu údajů „pro jistotu“ a bez konkrétního účelu, což se promítá i do čl. 11 GDPR, který omezuje povinnost správce udržovat nebo obnovovat identifikaci, pokud již není nezbytná pro účely zpracování. Z těchto důvodů EDPB dospívá k závěru, že právní povinnost podle čl. 6 odst. 1 písm. c) GDPR bude pouze výjimečně relevantním právním základem pro samotné vyžadování povinného online uživatelského účtu v běžné praxi elektronického obchodování.

Oprávněný zájem a aplikace balančního testu podle čl. 6 odst. 1 písm. f) GDPR

Nejobsáhlejší část Doporučení je věnována právnímu základu oprávněného zájmu a aplikaci tříkrokového testu, který zahrnuje (i) identifikaci oprávněného zájmu správce nebo třetí strany, (ii) posouzení nezbytnosti zpracování pro účely tohoto zájmu a (iii) vyvážení zájmů správce s právy a svobodami subjektů údajů. 

EDPB připouští, že v prostředí e-commerce mohou existovat oprávněné obchodní zájmy, současně však zdůrazňuje, že čl. 6 odst. 1 písm. f) GDPR nepředstavuje „univerzální právní základ zpracování“ a že každé zpracování musí projít testem nezbytnosti a následně i balančním testem. Správce musí prokázat, že neexistuje jiné, méně invazivní řešení, které by sledovaný účel dokázalo naplnit stejně účinně.

EDPB v Doporučeních takto analyzuje typické účely, jimiž správci údajů povinné vytváření účtů odůvodňují, tedy zejména sledování objednávek, správu následných změn objednávky, usnadnění budoucích nákupů, budování zákaznické loajality či prevenci podvodů, a opakovaně dospívá k závěru, že povinný účet zpravidla nepředstavuje nejméně invazivní prostředek ve smyslu zásady minimalizace a testu nezbytnosti. Řadu těchto účelů lze naplnit prostřednictvím dočasných technických řešení, jednorázových odkazů, e-mailové komunikace nebo dobrovolné registrace.

Zvláštní důraz EDPB klade na část balančního testu týkající se rozumných očekávání subjektů údajů a dopadu na jejich práva a svobody. Zákazník, který vstupuje na e-shop s cílem uskutečnit jednorázový nákup, typicky neočekává, že bude nucen založit dlouhodobý uživatelský účet a že jeho osobní údaje budou uchovávány a dále využívány po dobu přesahující plnění smlouvy. EDPB zároveň výslovně upozorňuje na problematiku registrace „na poslední chvíli“, kdy je povinnost vytvořit účet uživateli předložena až v závěrečné fázi objednávkového procesu, což může být v rozporu se zásadou transparentnosti a korektnosti zpracování podle čl. 5 odst. 1 písm. a) GDPR.

Režim hosta jako možné řešení

V návaznosti na uvedené skutečnosti EDPB uzavírá, že v převážné většině běžných scénářů v oblasti e-commerce představuje nejvhodnější řešení nabídnout uživateli skutečnou volbu mezi vytvořením uživatelského účtu a nákupem bez registrace, tedy v režimu hosta neboli tzv. „guest mode“. Tento model EDPB považuje za řešení, které nejlépe naplňuje požadavky ochrany osobních údajů a povinnost ochrany údajů již při návrhu a ve výchozím nastavení podle čl. 25 GDPR. Umožňuje omezit rozsah zpracování na údaje nezbytné pro konkrétní transakci, vhodně nastavit dobu jejich uchovávání a snížit riziko jejich dalšího využívání k účelům, jež již nesouvisejí s plněním smlouvy.

EDPB současně zdůrazňuje, že ani nákup v režimu hosta, ani dobrovolná registrace samy o sobě nezakládají právní základ pro další zpracování osobních údajů. Správce je povinen pro každý jednotlivý účel zpracování samostatně určit odpovídající právní základ, řádně splnit informační povinnost a plně respektovat práva subjektů údajů. Pokud jsou v rámci dobrovolného uživatelského účtu nabízeny doplňkové služby, jako je personalizace, věrnostní programy či marketingová komunikace, musí být tyto účely jasně odděleny od samotného nákupního procesu a opřeny o příslušný právní základ, zpravidla souhlas, který musí být kdykoli odvolatelný stejným způsobem a se stejnou jednoduchostí, s jakou byl udělen.

Závěrem

Ačkoli Doporučení nemají povahu přímo závazného právního předpisu, představují obecně přijímaný autoritativní výklad GDPR, k němuž budou dozorové orgány při své rozhodovací činnosti nepochybně přihlížet. Provozovatelé e-commerce stránek (tedy e-shopů, online tržišť a další identifikované subjekty dle Doporučení) by tato Doporučení měli zohlednit již při návrhu a úpravách svých procesů, zejména při nastavování postupů v rámci objednávkového procesu, výchozích uživatelských voleb a při soustavném posuzování právních základů pro jednotlivé účely zpracování osobních údajů.

Z hlediska dodržování právních povinností lze důvodně očekávat, že povinná registrace jako standardní podmínka transakce se stane častým předmětem kontrolní a sankční činnosti, a to zejména v případech, kdy je vyžadována u jednorázových nákupů bez prokazatelné nezbytnosti nebo kdy je spojena s nepřehledným uživatelským rozhraním a nepřiměřeným rozsahem shromažďovaných osobních údajů.

Z praktického hlediska se jako nejpravděpodobnější směr dalšího vývoje jeví posílení nákupu bez registrace v režimu hosta jako výchozího standardu, zatímco uživatelské účty budou stále více chápány jako dobrovolná služba poskytující přidanou hodnotu, nikoli jako podmínka přístupu k základnímu plnění. Tento posun může mít významné dopady nejen na technickou architekturu e-commerce stránek, ale rovněž na interní procesy správy osobních údajů, nastavení dob uchovávání, bezpečnostní opatření a strukturu marketingových aktivit.

Doporučení tak představují jistě velmi zajímavý posun ve výkladu GDPR v oblasti e-commerce. Povinné vytváření uživatelských účtů je dle EDPB očividně přípustné pouze ve výjimečných situacích, zatímco u běžných jednorázových nákupů bude taková praxe zpravidla v rozporu s požadavky na zákonnost, minimalizaci zpracování a omezení uložení osobních údajů. EDPB současně prosazuje model skutečné volby a nákupu bez registrace jako řešení, které nejlépe odpovídá zásadám ochrany osobních údajů a povinnostem podle čl. 25 GDPR. Ti provozovatelé e-commerce stránek, kteří své procesy tomuto výkladovému rámci nepřizpůsobí, se vystavují nejen zvýšenému regulatornímu riziku, ale i riziku reputačnímu. To platí zejména v situaci, kdy lze očekávat systematické přihlížení dozorových orgánů k výkladovým standardům formulovaným EDPB.